kann Hack nicht nachvollziehen

[rhw002]

Hallo Forum,
seit einiger Zeit passieren auf meinem Rechner seltsame Dinge. Egal welches BS ich nehme, ich befinde mich sofort in einem unbekannten Windows Netzwerk, welches sich mir gegenüber nur als Icon Windows-Netzwerk präsentiert. Mehr sehe ich davon nicht. Das passiert sogar bei Linux Live CDs die garantiert "sauber" sind. Bios Reset und Neuaufspielen, sowie Fritzbox (7490) Werkseinstellungen bringen nichts.
In kurzer Zeit oder noch während der Installation trägt sich ein User als unbekannte SID in den Sicherheitsreiter der Icon Sicherheitsbeschreibung an. Das ganze passiert bei Windows schon während der Installation und es werden diverse Dienste verändert, Firewall Einstellungen, Gruppenrichtlinien sind auf dem Rechner dann nicht wirksam. Ich bekomme meinst von Anfang an, einen Hyper-V virtuellen Switch und eine weitere virtuelle Netzwerkverbindung "verpasst". Ich habe schon alles mögliche versucht und kann mir nur vorstellen, das mein Bios Baustein verändert wurde - obwohl nichts zu sehen ist oder die Fritzbox macht die Verbindung im Hintergrund und zeigt diese Einstellung nicht an. FritzBox Reset bringt nichts, die ISO Dateien sind in Ordnung. Laut Fritzbox befindet sich niemand weiteres im Netzwerk. Ich habe auch ein verstecktes Ramlaufwerk gefunden, habe aber keinen Zugriff. Schon mehr als einmal wurde der Rechner aus der Ferne komplett zerstört, also es werden mir Rechte entzogen, etliche Inf Dateien mit Treibern werden aufgespielt usw.
Ist es möglich, das die Fritzbox oder ein Cmos Baustein manipuliert wurden? Ich hatte einen Einbruch - es gab also eine Möglichkeit für einen Fremden meinen Rechner zu manipulieren.
Danke für mögliche Ideen. Ich weiss nicht weiter. Jedenfalls präsentiert sich mein Rechner als " Terminalserver". Ich nutze an Sicherheitsmassnahmen was mir möglich ist.

 

[sf3978]

Das passiert sogar bei Linux Live CDs die garantiert "sauber" sind.

Poste mal mit Linux die Ausgaben von:

wpa_cli scan && wpa_cli scan_results
wpa_cli status
iwconfig
sudo iwlist wlan0 scan
ip a
ip n s

 

[H´Sishi]

Hmm ... sollte @rhw002's Fritz!Box manipuliert sein geht das eigentlich nur per Einspielen von veränderten Firmwares oder Manipulation per Fernwartung über einen PC im Netzwerk. In dem Fall würde ich die Box an einem Fremd-PC (weil man den eigenen PCs nicht mehr trauen kann) recovern.

Steht kein Fremd-PC zur Verfügung, benötigt man zusätzlich eine Windows-Start-CD oder -USB-Stick mit einem Notstart-System, damit das kompromittierte Betriebssystem nicht geladen wird und die nachfolgenden Schritte auch nicht beeinträchtigen kann.

Über einen per "OTG"-Kabel an ein Handy angeschlossenen USB-Stick (es gibt auch Hybrid-USB-Sticks mit einem zusätzlichen OTG-Stecker) und dem Handy-eigenen Browser bei AVM die passende Recovery-Datei besorgen und auf den USB-Stick kopieren.
Quellordner der Recovery-Datei für die 7490:
ftp://ftp.avm.de/fritzbox/fritzbox-7490/deutschland/recover/
Die aktuelle Recovery-Datei hat die Fritz!OS-Version 7.21.

- Die Fritz!Box vom Internet und sämtlichen anderen PC's, verkabelten Repeatern, Powerline-Adaptern und evtl. an der Box angeschlossenen USB-Geräten trennen (leider hat @rhw002 nicht geschrieben, was alles an Hardware im Netzwerk ist) und das Netzteil der Box aus der Steckdose ziehen.
- Jetzt den Windows-PC per LAN-Kabel an LAN1 anschließen und (ggfs. per oben erwähntem Notstart-Medium) booten.
- Wenn der PC fertiggestartet ist, den USB-Stick mit dem Recovery-Programm anstecken, das Recovery-Programm starten und den Schritten des Recovery-Programms folgen.

Wenn alles durchgelaufen ist, ist die Box recovert und befindet sich im Ersteinrichtungs-Modus. Wichtig: Hier unbedingt per Knopfdruck das WLAN der Box abschalten!

Zunächst muß ein nicht leicht zu erratendes Kennwort für den Hauptbenutzer der Box vergeben werden.
Dann will die Box ihre Ersteinrichtung für Internetverbindung, Telefonie usw. durchführen, das kann man aber zunächst abbrechen.

Dann über die UI (Heimnetz -> USB/Speicher) nachsehen, ob sich im internen NAS-Speicher der Box irgendwelche fragwürdigen Dateien verstecken.
Einige Ordner und Dateien befinden sich schon ab Werk auf dem internen Speicher. Bei einer recoverten Box können diese mMn. problemlos gelöscht werden.
Sofern später Fax- und AB-Funktionen aktiviert werden, legen diese ihre benötigten Ordner an.

Jetzt muß in der WLAN-Sicherheit das vorgegebene WLAN-Kennwort auf ein eigenes geändert werden. Sollte sich jemand in der Vergangenheit an der Box zu schaffen gemacht haben, dürfte diese Person das werksseitige Kennwort kennen.

Jetzt kann die Box an's Internet angeschlossen und die Einrichtung über den Internetverbindungs-Assistenten neu gestartet werden.

-----

Nachdem die Box (hoffentlich) sauber ist, geht es an die Geräte, die vorher noch im Netzwerk waren. PCs, die bislang (unauffällig?) gelaufen sind, müssen per Antivirus-CD oder -USB-Stick gestartet und überprüft werden, damit ein evtl. auf den Festplatten befindlicher Virus inaktiv bleibt, sich nicht verstecken und vom Virusscanner entfernt werden kann.

Sollten sich eventuelle Schädlinge nicht entfernen lassen, bleibt nur der Weg, über ein Windows-Notfallstart-Medium (CD, USB-Stick) alle wichtigen Dateien auf eine neue externe Festplatte zu sichern und dann die betroffenen PCs komplett neu aufzusetzen, inklusive Löschen und Neu-Anlegen aller Festplatten-Partitionen.
Bevor die Daten dann zurückgespielt werden, sollte die Festplatte auf Virenverseuchung überprüft werden.

-----

Schließlich müssen auch die übrigen Geräte, die vorher an der Fritz!Box angeschlossen oder angemeldet waren, überprüft, resettet (oder recovert) und dann neu eingerichtet werden, um jegliche eingerichteten Zugänge für Dritte auszuschließen

Für (fast) alle AVM-Geräte mit LAN-Anschluß stehen Recovery-Programme zur Verfügung. Diese sind der einfachste Weg, jegliche Einstellungen und Zugänge Dritter zu löschen.
Das Prozedere ist dabei wie bei der Box: Netzstecker ziehen, Recover-Programm starten, dessen Anleitung folgen.

Sollten sich Powerline-Adapter oder Repeater anderer Hersteller nicht per Knopfdruck auf Werkseinstellungen zurücksetzen lassen, sollten die Geräte an einem anderen Ort recovert und deren Einstellungen zumindest gelöscht werden. Warum? Wenn sich der "ungebetene Gast" im selben Haus befindet, hat er über Stromleitungen oder WLAN der Geräte immer noch Zugang und könnte alle Löschungen und Änderungen über die Benutzer-Interfaces beeinträchtigen oder unterbinden.

Besitzt man außerdem Geräte, die sich weder recovern noch auf Werkseinstellungen resetten lassen ("NoName"-Produkte, kein Support, alte Standards, ausgesperrt per Kennwort) sollte man über einen Austausch nachdenken.

-----

Für die Zukunft kann bei der Fritz!Box der LAN4-Port als "Gast-Zugang" eingerichtet und somit vom übrigen Netzwerk abgetrennt werden. Alle Geräte, die über diesen Port an der FritzBox angeschlossen sind, können dann nur in's Internet, aber keine anderen Netzwerkgeräte oder gar die FritzBox selbst ansprechen.
Auch kann ein WLAN-Gastzugang eingerichtet werden, der dieselben Einschränkungen hat.

Somit steht für möglicherweise kompromittierte Geräte (ggfs. über einen Switch) eine Internet-Verbindung zur Verfügung, die keine Verbindung zu Geräten im privaten Netzwerk hat.

 

[rhw002]

Erstmal Danke für die ausführlichen Anleitungen.
Ich habe eine sehr simple Ausstattung.
An meinem PC ist nur ein Laserdrucker von Ricoh und an der Fritzbox hängen über Wlan ein Handy und ein Fire-Tv Stick. Dazu noch ein Audio Bluetooth Sender mit dem ich auf die Stereoanlage streame. Mein Handy wurde auch gehackt, plötzlich sind der APN (O2) mit einem Proxy versehen und nicht mehr editierbar, ebenso wie die Bluetooth Codecs in den Android Entwickler Einstellungen.
Das scheint wohl eine "Man in the middle" Attacke gewesen zu sein.
Ich hänge in einer Schleife, setze ich das Handy auf Werksreset brauche ich natürlich die FB um es anzumelden.
Ich bin aber fast sicher, das Passwörter mitgelesen werden
Anzumerken wäre noch das die Fritzbox vom Provider kommt, der nach dem Reset die individuellen Einstellungen lädt. Daher kommt die Avm Recovery wohl nicht in Frage.... Version ist ein etwas abgespecktes 7.21. Willy Tel modifiziert einigermaßen zeitnah die AVM Firmware.
Meine Box Einstellungen sind auf Sicherheit getrimmt. Kein Myfritz, kein Internet Zugang, kein upnp, 63-stellige WLAN Passphrase, per Kindersicherung im Heimnetz nur Mailen und surfen, Gast gesperrt, Zugang als Benutzer mit langen Passwort.
Eine Frage, die Windows Reparatur CD die ich habe, bringt mich doch nicht in eine Gui, wo ich die Fritzbox aufrufen kann? Neben den Reparatur Optionen gibt es doch nur einen Dos-Promt x:/ oder hab ich da was falsch verstanden? Danke! Ich werde testen, vor allem die Lan4 Einstellungen sind interessant.

 

[bugmenotbugmenot]

Du solltest eine professionelle forensische Untersuchung in Betracht ziehen. Ich an deiner Stelle würde als erstes Images der Speichermedien deiner Geräte erstellen. Da deinen Geräten im Moment nicht zu trauen ist, ist das allerdings nicht einfach. Neue Geräte sollten nicht mit deinem Netz oder deinen Geräten verbunden werden. Alle USB-Geräte sind suspekt, auch Tastatur und Maus. Festplatten müssten ausgebaut werden und das System, das die Images erstellt, darf die Dateisysteme nicht automatisch einbinden. Moderne Computer haben etliche Möglichkeiten, wie sich Schädlinge über eine Neuinstallation hinweg verstecken und sogar Systeme kompromittieren können, die von Read-Only-Medien gestartet werden. Überprüfe die "BIOS" Einstellungen auf Fernwartungsfunktionen und versuche, ob es auch dann Auffälligkeiten gibt, wenn du eine Neuinstallation ohne Netzverbindung machst. Spätestens wenn das der Fall ist, solltest du Fachleute hinzuziehen.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

 

[H´Sishi]

Eine Windows-Reparatur-CD hat keine vollständige UI, das stimmt, aber man kann von der Eingabe-Konsole, die man von den Reparaturoptionen aus erreichen kann, Windows-Programme starten (also auch das Recovery-Programm).
Man muß nur darauf achten, daß man die Reparaturoptionen oder den abgesicherten Modus mit Netzwerk startet.

---

FritzBox mit abgespeckter Version ... Leihgerät oder gekauft, d.h. Eigentum? In letzterem Fall kann (und darf) man die Box wieder entsperren, da hier meist nur die "ProviderAdditive"-Variable gesetzt ist. Leert man diese Variable, stehen alle GUI-Optionen sowie die Möglichkeit zum Recovery zur Verfügung.
Ansonsten könnte man sich auf dem freien Markt eine Box kaufen (es gibt ja mittlerweile bessere Nachfolger zur 7490). Dank Routerfreiheit muß der Provider freie Boxen in seinem Netz akzeptieren und die Einwahl- sowie Telefonieserver-Daten an den Kunden übermitteln.
Er braucht lediglich keinen technischen Support leisten, wenn ein Fehler aufgrund falscher Einstellungen im Router auftritt. Hier sollte man die Box allerdings aufheben, damit der Provider bei einer Leitungsstörung Zugriff auf die Box bekommt.
Dazu muß sie aber nicht vollständig eingerichtet sein - Anmeldedaten für Internet-Zugang und Telefonie sowie ein (analoges) Telefon für die Erreichbarkeit genügen.

---

Handy gehackt? Welcher Hersteller, welches Modell?

Welche Adresse ist als Proxy eingetragen? Eventuell kann man über diese Adresse herausfinden, was das Handy sich da eingefangen hat.
Bei mir (auch o2) ist lediglich ein "MMS-Proxy" eingetragen. Dieser ist aber laut "Whois" o2 zugewiesen.

Wurden in den letzten Wochen irgendwelche Apps installiert, die kürzlich als Malware enttarnt wurden? Wurde irgendwelchen Apps (ggfs. auch im Nachhinein) Rechte für den Zugriff auf Geräteeinstellungen (Root-Rechte) oder in den Entwickler-Optionen die "Installation von Apps aus unbekannten Quellen zulassen" gewährt?
Wenn eine dieser Fragen mit "Ja" beantwortet wird, wird's schwierig. Malware auf Handies kann sich mittlerweile tief einnisten und dank Rootrechten auch gut verstecken; eventuell hat man aber Glück und kann diese normal deinstallieren, ggfs. über den App-Manager, in dem *alle* Apps (auch System-Apps) namentlich aufgelistet sind.
Dazu müssen den Apps zunächst wieder die Root- und Installationsrechte entzogen werden.
Wenn sich allerdings zwei oder mehr Apps gegenseitig überwachen und eine gelöschte App von einer anderen App wieder installiert wird (besagte Option in den Entwickler-Optionen), ist das ein endloser Kreislauf.

Einfacher wird es, wenn der Bootloader des Handys einen "Recovery-Modus" hat und man diesen über Tastendruck-Kombination beim Einschalten aufrufen kann (bei Samsung hält man dafür eine der Lautstärke- und die "Home"-Taste gedrückt, bevor man per Power-Knopf einschaltet und hält die Tasten gedrückt bis zum Einschalt-Logo).
Der Recovery-Modus ist ein rudimentäres Grundprogramm, von dem aus man sämtliche Daten (alle Einstellungen, nachinstallierte Apps, deren Daten und deren Cache) löschen kann. Das Handy ist danach wie frisch ausgepackt, minus evtl. früher deinstallierter Bloat-Ware (de-installierbare Apps, die mit der Original-Firmware kommen, bspw. "HRS Hotels", Mietwagen-Apps usw.).

Viele Handies kann man als Endkunde auch flashen (ist ähnlich dem Recovern bei Fritz!Boxen). Bei Samsung ist das nicht allzu kompliziert, wird aber von Samsung selbst nicht unterstützt oder auf deren Support-Seiten beschrieben. Bei anderen Herstellern kann das schwieriger sein.
Informationen zum Flashen von Androiden gibt's in den Foren von XDA-Developers (--> https://forum.xda-developers.com ). Hier kann man nach Hersteller und Modell suchen. Ist das Gerät nicht zu exotisch, findet man sogar alternative Firmwares.

---

Auch ein FireTV-Stick ist ein kleiner Android-Computer und kann mit den richtigen Mitteln und vorher erfolgten Einstellungen gekapert und mit zusätzlichen Apps versehen werden.

---

Inwieweit sich ein Ricoh-Drucker kapern läßt weiß ich nicht.

 

[bugmenotbugmenot]

Der Recovery-Modus ist ein rudimentäres Grundprogramm, von dem aus man sämtliche Daten (alle Einstellungen, nachinstallierte Apps, deren Daten und deren Cache) löschen kann. Das Handy ist danach wie frisch ausgepackt

Das reicht nicht, um ein Handy zuverlässig zu reinigen. Wenn ein Schädling Rootrechte erlangt hat, kann er i.d.R. auch die Systempartition verändern, die bei diesem Vorgang nicht zurückgesetzt wird.

Viele Handies kann man als Endkunde auch flashen

Das ist die Mindestanforderung, wenn man dem Gerät wieder halbwegs vertrauen möchte. Tatsächlich ist aber auch das keine Garantie, einen Schädling loszuwerden. Das Flashen funktioniert immer unter Mitwirkung von Software auf dem Gerät, die bereits kompromittiert sein kann.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

 

[H´Sishi]

Die Recovery-Oberfläche läßt sich umflashen (es gibt da einige alternative Bootloader, die durchaus funktionaler sind als das, was der Hersteller seinen Nutzern gewährt). Diese werden teilweise unter OpenSource-Lizenzen entwickelt - enthält der Code belegbar Schadcode, ist das schwer zu verheimlichen.
Das gilt auch für die Alternativ-Betriebssysteme der Handys.

Zumindest beim Bootloader kommt man ohne Hilfe eines PCs nicht weit, aber da kann man Vorkehrungen treffen (z.B. ein "Sandbox"-System, das bei jedem Herunterfahren gelöscht wird, beim nächsten Neustart eine frische Kopie des eigentlichen Betriebssystems lädt und somit sämtliche Manipulationen löscht).
Versteckte Schädlinge sind idR. nicht in der Lage, heruntergeladene Images für Recovery und Firmware für's Handy so (schnell) zu manipulieren, daß sie beim anschließenden Flashen Schadcode mitinstallieren. Moderne Smartphones haben Imagedateien von einigen GB; diese sind idR. fertige und signierte Archive, die erst auf dem Zielgerät ausgepackt und installiert werden, wobei vorhandenes überschrieben wird.

Die Server, von denen man die Bootloader und Firmwares herunterlädt, sind eine andere Sache - sind bereits dort die Image-Dateien kompromittiert (inkl. gefälschter Signatur), kann man das als Endanwender nicht erkennen.
Hier hilft etwas Recherche: wer betreibt den Server (Impressum), wie lange besteht die Adresse bzw. das Angebot schon (Whois), wer hat sie registriert, von wo aus wird man auf diese Server geleitet usw.

-----

In der Tat sollte man sich beim Virenbekämpfen nicht auf bereits kompromittierte Geräte oder Betriebssystem-Installationen verlassen. Je später im Bootprozeß der Startcode geladen wird, umso besser - ist allerdings der Schadcode schon im Bios, bevor überhaupt vom bootfähigen Medium (CD, USB-Stick, Festplatte) geladen wird, kann man sich von seiner Hardware schonmal verabschieden ...

-----

Bezüglich der im OP angesprochenen HyperV-Geräte: In der Tat gibt es bereits im Bios die Möglichkeit, virtuelle CPU's, Booten vom Netzwerk und BootCode-Protection ein- und auszuschalten.
- Booten vom Netzwerk ist bei Heimanwendern absolut unüblich. Das setzt spezielle Server voraus, die ein Heimanwender nicht hat. In Firmen mit hohen Sicherheitsanforderungen, die die normale Benutzerverwaltung nicht mehr abdeckt, ist das ein sinnvolles Mittel: Das Betriebssystem wird nicht auf dem eigentlichen PC installiert, sondern bei jedem Hochfahren frisch vom Server geladen.
Endanwender können das abschalten; dadurch beschleunigt sich der Bootprozeß etwas (das Bios wartet ein paar Sekunden, ob sich ein Boot-Server auf die Boot-Anforderung meldet).

- Virtuelle CPU-Kerne sind auch als "Multi-Threading" bekannt, d.h. ein physischer CPU-Kern wird über MultiThreading als zwei getrennte Kerne angesprochen. Ob das Gesamtsystem dann mehr Performance hat als ohne MultiThreading hängt vom Einzelfall ab.

- "HyperV" ist eine Grundvoraussetzung, um virtuelle PCs in seinem Betriebssystem benutzen zu können. Nutzt man dieses Feature nicht, kann man das im Bios abschalten.

- Die BootCode-Protection soll eigentlich verhindern, daß ein Virus sich in einem Bootblock einnisten kann. Versucht ein Virus das dennoch, wird das entweder unterbunden oder der PC bootet beim nächsten Einschalten nicht mehr in's Windows, weil ein manipulierter Bootblock erkannt wurde.
Der Schutz ist aber nur dann wirksam, wenn sich kein Virus im Bios selbst befindet.

 

[bugmenotbugmenot]

Versteckte Schädlinge sind idR. nicht in der Lage, heruntergeladene Images für Recovery und Firmware für's Handy so (schnell) zu manipulieren, daß sie beim anschließenden Flashen Schadcode mitinstallieren.

Der Schädling muss das nicht während des Updates tun. Wenn er (z.B. durch einen Exploit) Rootrechte hat, kann er die Systempartition im normalen Betrieb verändern. Um den Schädling dann wieder loszuwerden, reicht es nicht, die Data-Partition zu löschen. Das ist aber alles, was beim Zurücksetzen auf Werkseinstellungen passiert.

Um ein Update, das über Fastboot eingespielt wird, zu manipulieren, müsste der Bootloader kompromittiert sein. Das ist bei einem entsperrten Bootloader nicht unmöglich, aber immerhin unwahrscheinlich, wenn der Hersteller diesen Flashbereich vor dem Systemstart gegen Schreibzugriffe sperrt.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

 

[Micha0815]

Bios Reset und Neuaufspielen

Falls sich wirklich etwas "Schädliches" Richtung spezielles BootROM via LAN eingenistet hat, was durch BIOS-Update nicht "resetbar" ist, hast Du imho wirklich schlechte Karten.
Da auf einem MoBo und Periferie derart viele Speicherorte verfügbar sind, (Controller von USB-Speichersticks, Monitor-Settings, MBR einer HDD, ...) spielt imho die FW einer Fritz!Box nur eine untergeordnete Rolle.
U.U. liest Du Dich mal z.B. https://www.trojaner-board.de/ dort ein und suchst Vergleichbare Fälle und/oder bittest dort um Hilfe. Zumindest lässt sich u.U. die Quelle/der Ursprung eingrenzen.
LG and my2cent